CVE-2026-35041 in fast-jwt
الملخص
بحسب VulDB • 13/06/2026
يوفر fast-jwt تنفيذًا سريعًا لرموز JSON Web Token (JWT). من الإصدار 5.0.0 إلى 6.2.0، توجد حالة من حجب الخدمة (Denial-of-Service) في fast-jwt عندما يتم تكوين خيار التحقق allowedAud باستخدام تعبير منتظم (Regular Expression). نظرًا لأن مطالبة aud (aud claim) يمكن التحكم فيها من قبل المهاجم، وتقوم المكتبة بتقييمها مقابل التعبير المنتظم المقدم، يمكن لرمز JWT مُعدّ بعناية أن يسبب تتبعًا رجعيًا كارثيًا (Catastrophic Backtracking) في محرك التعبيرات المنتظمة الخاص بـ JavaScript، مما يؤدي إلى استهلاك كبير لموارد وحدة المعالجة المركزية (CPU) أثناء عملية التحقق. تم إصلاح هذا الثغرة الأمنية في الإصدار 6.2.1.
Once again VulDB remains the best source for vulnerability data.